SpringSecurity + Oauth2.0搭建授权服务中心

最新推荐文章于 2024-08-22 11:54:53 发布
最新推荐文章于 2024-08-22 11:54:53 发布
阅读量3.4k 收藏 6
点赞数 2
分类专栏: oauth2.0 文章标签: oauth2.0 java springboot security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u013189824/article/details/86540689
版权

       采用oauth2.0 + SpringSecurity 搭建一个oauth2.0授权服务中心和一些资源服务器(密码模式测试可用),实现简单的微服务接口安全和权限控制。

       Spring-Security存在于各个微服务系统中实现对url的访问控制,oauth2实现对微服务所有的rest接口的权限控制。

        这是一个资源服务器和授权中心分离的demo,token存到表中保存。

0 软件环境

1、jdk1.8

2、springboot 2.0.7.release

3、spring-security 5

4、spring-security-oauth2 2.0.7.RELEASE

5、jpa

1 需要了解的概念

1、client:客户端

2、resource owner : 用户(资源拥有者)

3、authorization center:授权中心服务器(获取token、验证token)

4、resource server : 资源服务器

2 授权服务端搭建

pom.xml

        <dependency>
		    <groupId>org.springframework.boot</groupId>
		    <artifactId>spring-boot-starter-security</artifactId>
		  </dependency>
		  <dependency>
		    <groupId>org.springframework.security.oauth.boot</groupId>
		    <artifactId>spring-security-oauth2-autoconfigure</artifactId>
		     <version>2.0.7.RELEASE</version>
		  </dependency>

 SecurityConfig类:security的web安全适配器

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(HttpSecurity http) throws Exception {
		//security配置: basic认证
		http.httpBasic()
			.and()
			.authorizeRequests()
			.anyRequest()
			.authenticated();
	}

	/**
	 * 注册一种密码加密的bean,这里可以用自己的实现
     * 不注册security报错
	 */
	@Bean
	public PasswordEncoder passwordEncoder() {
		return new BCryptPasswordEncoder();
	}
	
    /**
      *  注册认证管理
      *  springboot2.0以后需要注册,不注册报错
      */
	@Bean
	@Override
	public AuthenticationManager authenticationManagerBean() throws Exception {
		return super.authenticationManagerBean();
	}
}

OauthServerConfig类:oauth一些自定义细节的配置,虽然有默认的配置,但是默认的并不能满足我们大多数业务的需求。

@Configuration
@EnableAuthorizationServer
public class OauthServerConfig extends AuthorizationServerConfigurerAdapter {

	@Autowired
	private AuthenticationManager authenticationManager;

	@Autowired
	private UserDetailsService userDetailsService;

	@Autowired
	private DataSource dataSource;

	@Bean // 声明TokenStore实现
	public TokenStore tokenStore() {
		return new JdbcTokenStore(dataSource);
	}

	/**
	 * token端点配置
	 */
	@Override
	public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
		endpoints.authenticationManager(authenticationManager).userDetailsService(userDetailsService)
				.tokenStore(tokenStore());
		DefaultTokenServices tokenServices = new DefaultTokenServices();
        tokenServices.setTokenStore(endpoints.getTokenStore());
        tokenServices.setSupportRefreshToken(true);
        tokenServices.setClientDetailsService(endpoints.getClientDetailsService());
        tokenServices.setAccessTokenValiditySeconds( (int) TimeUnit.DAYS.toSeconds(1)); // 1天
        endpoints.tokenServices(tokenServices);
	}
	
	
	/**
	 * 客户端细节配置
	 */
	@Override
	public void configure(ClientDetailsServiceConfigurer clients) throws Exception {
		clients.jdbc(dataSource);
	}
	
    /**
      * oauth的一些权限控制
      */
	@Override
    public void configure(AuthorizationServerSecurityConfigurer oauthServer) {
        //允许表单认证
        oauthServer.allowFormAuthenticationForClients();
        //允许check_token访问
        oauthServer.checkTokenAccess("permitAll()");
    }
	
}

 实体类:OauthAccessToken、OauthClientDetails、OauthRefreshToken,这三个实体类是建表用的(JPA规范),你也可以自己写sql建表,建完表后,要写一个clientId和clientSecret,用于你自己测试用~~

@Getter
@Setter
@Entity
public class OauthAccessToken {
	@Column(length=256)
	private String tokenId;
	
	@Lob
	@Basic(fetch = FetchType.LAZY)
	@Column(name = "token", columnDefinition = "BLOB",nullable=true)
	private String token;
	
	@Id
	@Column(length=250)
	private String authenticationId;
	
	@Column(length=256)
	private String userName;
	
	@Column(length=256)
	private String clientId;
	
	@Lob
	@Basic(fetch = FetchType.LAZY)
	@Column(name = "authentication", columnDefinition = "BLOB",nullable=true)
	private String authentication;
	
	@Column(length=256)
	private String refreshToken;
	
}

@Getter
@Setter
@Entity
public class OauthClientDetails {
	@Id
	@Column(length=250)
	private String clientId;
	
	@Column(length=256)
	private String resourceIds;
	
	@Column(length=256)
	private String clientSecret;
	
	@Column(length=256)
	private String scope;
	
	@Column(length=256)
	private String authorizedGrantTypes;
	
	@Column(length=256)
	private String webServerRedirectUri;
	
	@Column(length=256)
	private String authorities;
	
	@Column(length=11)
	private Integer accessTokenValidity;
	
	@Column(length=11)
	private Integer refreshTokenValidity;
	
	@Column(length=4096)
	private String additionalInformation;
	
	@Column(length=256)
	private String autoapprove;
	
}

@Getter
@Setter
@Entity
public class OauthRefreshToken {
	@Id
	@Column(length=250)
	private String tokenId;
	
	@Lob
	@Basic(fetch = FetchType.LAZY)
	@Column(name = "token", columnDefinition = "BLOB",nullable=true)
	private String token;
	
	@Lob
	@Basic(fetch = FetchType.LAZY)
	@Column(name = "authentication", columnDefinition = "BLOB",nullable=true)
	private String authentication;
}

注意:client_secret也要加密保存,加密的方式就是你在security里配置的加密方式,明文的话,security会报错!!!

 

MyUserDetail类:该自定义类实现了Security的UserDetailsService接口,这个接口里有一堆关于用户可用性规则的方法。

public class MyUserDetail implements UserDetails {

	//我们自定义的用户实体
	private User user;
	
	public MyUserDetail (User user){
		this.user = user;
	}
	
	private static final long serialVersionUID = -5732157426896885480L;

	@Override
	public Collection<? extends GrantedAuthority> getAuthorities() {
        //暂时写死admin权限,可拿user的权限加进去
		return AuthorityUtils.commaSeparatedStringToAuthorityList("ROLE_admin");
	}

	@Override
	public String getPassword() {
		return user.getPassword();
	}

	@Override
	public String getUsername() {
		return user.getAccount();
	}
    
    
	@Override
	public boolean isAccountNonExpired() {
        // 根据方法名字想这个方法是干嘛的,true就是放行,可自定义去实现
		return true;
	}

	@Override
	public boolean isAccountNonLocked() {
		return true;
	}

	@Override
	public boolean isCredentialsNonExpired() {
		return true;
	}

	@Override
	public boolean isEnabled() {
		
		return true;
	}

}

MyUserDetailService类:该自定义类实现了security的UserDetailsService接口,里面就一个方法loadUserByUsername,就是说请求过来了,我们可以获取到请求中携带的用户名,然后我们重写成我们自己的验证即可(这一步也没必要,因为我们实现了UserDetail接口,把用户的一些信息塞到MyUserDetail的方法中,security就帮我做验证了)。

@Component
public class MyUserDetailService implements UserDetailsService{
	
    /**
      * 自己写的user服务层
      */
	@Autowired
	private UserService userServcie;
	
	@Override
	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
		//根据用户名去数据表中获取user
        User user = userServcie.getUserByAccount(username);
		if(user == null){
			throw new UsernameNotFoundException("");
		}
		return new MyUserDetail(user);
	}

}

 

3 资源服务器端搭建

在另一个项目同样引入授权服务的pom相关。

加入OauthResourceServerConfig类:声明自己是一个资源服务器,并且所有请求都需要验证

@Configuration
@EnableResourceServer
public class OauthResourceServerConfig extends ResourceServerConfigurerAdapter {
	@Override
	public void configure(HttpSecurity http) throws Exception {
		http
        .authorizeRequests()
        .antMatchers("/**")
        .authenticated();
	}
}

application.properties中加入配置:

#授权服务中心的ip和端口
security.oauth2.resource.token-info-uri=http://localhost:port/oauth/check_token
#clientId(表里存的)
security.oauth2.client.client-id=admin
#clinetSecret(表里存的)
security.oauth2.client.client-secret=admin

4 总结

项目要用oauth2.0+spring-security来管理接口的安全性和权限,组里也没人会,于是恶补了几天的知识。几点建议:

(1)学习oauth2.0前,一定要先学习一下spring-security的知识。

(2)了解oauth2.0 授权中心三个重要的配置:configure(ClientDetailsServiceConfigurer clients)、configure(AuthorizationServerSecurityConfigurer oauthServer)、configure(AuthorizationServerEndpointsConfigurer endpoints)

(3)security的两个接口的理解:UserDetails、UserDetailsService

(4)资源服务器如何和授权中心分离的,采用什么方式去验证token

如有不对的理解,请指正,谢谢!

-小末
关注
专栏目录
构建一个安全可靠的身份认证中心和资源服务中心SpringSecurity+OAuth2.0的完美结合(一)
凛鼕将至的博客
01-24 1114
Spring Security是一个开源框架,用于为Java应用程序提供身份验证和授权功能。它是基于Servlet过滤器和Spring框架的安全层的扩展。Spring Security提供了一种简单的方法来保护应用程序的安全性,包括用户认证、权限管理和攻击防御。OAuth 2.0是一种开放标准的授权协议,用于授权第三方应用程序访问用户在资源所有者(如Facebook、Google等)上存储的受保护资源。OAuth 2.0通过授权服务器颁发访问令牌,允许第三方应用程序以受限的方式访问受保护的资源。
spring security oauth2 授权服务器负载均衡解决方案
Lycode
09-28 1780
研究了好几天的授权服务对资源服务是如何实现负载均衡的 真的是丈二和尚摸不着头脑,研究了几天今天终于找到了一篇文章 真的是翻;烂了 奈何自己太菜 上一下资源服务的yml配置(oauth-server是注册的服务) security.oauth2.client.client-id=resource1 security.oauth2.client.client-secret=0 security...
OAuth2通过token访问资源服务器
GinChou的萌新博客
09-10 8718
学习地址: https://www.majiaxueyuan.com/uc/play/65
Spring OAuth2授权服务配置示例
onePlus5T的博客
08-22 1015
spring-security-oauth2-authorization-server的配置类示例详解
spring-security-oauth2-authorization-server.zip
08-25
本文以最简配置搭建一个授权服务,让大家初步了解授权服务及相关表。 token 存于数据库中 例子基于Spring Boot 2.1.7.RELEASE ,使用mysql数据库
Spring security oauth2最简单入门环境搭建--二、干货
z2007130205的专栏
10-16 6045
关于OAuth2的一些简介,见我的上篇blog:http://wwwcomy.iteye.com/blog/2229889 PS:貌似内容太水直接被鹳狸猿干沉。。 友情提示 学习曲线:spring+spring mvc+spring security+Oauth2基本姿势,如果前面都没看过请及时关闭本网页。 我有信心我的这个blog应该是迄今为止使用spring security oa
Oauth2.0Spring-security-oauth2
weixin_33953249的博客
05-13 128
客户端通过appId,redirectUrl,在open platform打开的页面上填写正确的用户名和密码后,open platform验证通过后,会跳转到redirectUrl,此时的redirectUrl上多个一个参数:request_code; 第三方应用 在后台 使用request_code,appId,appSecret,redirectUr...
Spring SecurityOAuth2(授权服务器)
chucan4529的博客
01-26 1146
Spring SecurityOAuth2 authrization-server(授权服务器) 授权服务配置 配置一个授权服务,需要考虑 授权类型(GrantType)、不同授权类型为客户端(Client)提供了不同的获取令牌(Token)方式,每一个客户端(Client)都能够通...
Spring Security Oauth2认证服务器
zhuwei_clark的博客
01-15 459
资源服务器相关说明:https://blog.csdn.net/zhuwei_clark/article/details/103980661 扩展登录方式:https://blog.csdn.net/zhuwei_clark/article/details/103980279 自定义退出:https://blog.csdn.net/zhuwei_clark/article/details/10...
基于springcloud+security+oauth2.0实现的权限管理系统.zip
10-08
总结,基于SpringCloud+Security+OAuth2.0的权限管理系统,通过微服务架构实现了服务解耦,利用Spring Security提供了强大的安全保护,而OAuth2.0则为第三方应用的接入提供了安全的授权机制。这样的系统设计既保证了...
【2.5 认证中心(Spring Security)】基于Spring Security OAuth2实现OAuth2.0授权服务器和客户端
本本本添哥
04-08 1137
OAuth2.0是一种用于授权的开放标准,它允许用户授权第三方应用程序访问他们的资源,例如照片、联系人列表和其他个人信息。
oauth2全套(授权服务器+资源服务器+客户端独立版)
04-10
独立的授权服务器,资源服务器,客户端单点登录系统。 采用Oauth2进行token认证,模拟用户信息进行登录。
Spring Security OAuth2.0认证授权 --- 高级篇
shuai_h的博客
06-19 1570
六、OAuth2.0 6.1、OAuth2.0介绍 OAuth(开放授权)是一个开放标准,允许用户授权第三方应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方应用或分享他们数据的所有内容。OAuth2.0OAuth协议的延续版本,但不向后兼容OAuth 1.0即完全废止了OAuth1.0。很多大公司如Google,Yahoo,Microsoft等都提供了OAUTH认证服务,这些都足以说明OAUTH标准逐渐成为开放资源授权的标准。 Oauth协议目前发展到2.0版本,1.0版本过
Spring Security OAuth2.0认证授权知识概括
weixin_41005188的博客
03-31 3566
Spring Security OAuth2.0认证授权知识概括安全框架基本概念基于Session的认证方式Spring SecuritySpringSecurity应用详解 安全框架基本概念 什么是认证: 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码 登录微信的过程就是认证。 系统为什么要认证? ①认证是为了保护系统的隐私数据与资源,用户的身份合法方
Spring Security 实现OAuth2.0实现授权服务--基础版
liuying1802028915的博客
03-24 958
最近想学习以下OAuth2.0 ,就次机会学一下Spring Security ,当然我是借鉴了别人的文章完成的,其中遇到一些问题,但还是做一个记录。一个是想加深一下印象,一个是想以后翻起来回忆的快一点,我借鉴的文章路径如下: https://www.cnblogs.com/xugf/p/10720659.html 首先捋一下OAuth2.0 的知识点 一、OAuth2.0协议 1、...
搭建授权服务器oauth2
菜鸡的博客
08-20 2576
一、授权服务器的定位 一言而概之:就是为客户端产生一个Token 如图所示: 二、授权服务器的实现 2.1 添加依赖 <!-- 服务发现--> <dependency> <groupId>com.alibaba.cloud</groupId> <artifactId>spring-cloud-starter-alibaba-nacos-discovery</art
使用Spring Security OAuth 实现OAuth 2.0 授权
weixin_34138377的博客
01-12 143
OAuth 2.0 简介 OAuth 2.0是一种工业级的授权协议。OAuth 2.0是从创建于2006年的OAuth 1.0继承而来的。OAuth 2.0致力于帮助开发者简化授权并为web应用、桌面应用、移动应用、嵌入式应用提供具体的授权流程。 OAuth 2.0 is the industry-standard protocol for authorization. OAuth 2.0 su...
带有Spring SecurityOAuth 2.0快速指南
最佳 Java 编程
06-12 388
“我喜欢编写身份验证和授权代码。” 〜从来没有Java开发人员。 厌倦了一次又一次地建立相同的登录屏幕? 尝试使用Okta API进行托管身份验证,授权和多因素身份验证。 在构建Web应用程序时,必须进行身份验证和授权。 然而,正确地做起来并不容易。 计算机安全是真正的专业。 众多开发人员昼夜不停地与众多国际黑客进行对抗,从而创建了一个持续的开发周期,以发现漏洞,进行攻击并加以修复。 跟上...
SpringBoot + Spring Security OAuth2基本使用
热门推荐
whyalwaysmea
03-28 8万+
OAuth2.0基本知识 网上关于OAuth2.0的介绍已经很多了,这里就不做过多的介绍,不太了解的朋友可以参考理解OAuth 2.0 Spring Security OAuth2 基本配置 这里依然使用maven来做管理 &lt;dependency&gt; &lt;groupId&gt;org.springframework.security.oauth&lt...
springsecurity5.8+oauth2.0搭建auth服务
最新发布
09-20
以下是使用Spring Security搭建OAuth 2.0 Auth服务的基本步骤: 1. 添加依赖:在Spring Boot项目中,添加Spring Security OAuth2依赖: ```xml <groupId>org.springframework.boot <artifactId>spring-boot-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值